İçeriğe geç

Proxy Yakalama

Trace Eagle’ın proxy yakalama modülü, bilgisayarınızın, telefonunuzun ve LAN’ınızdaki diğer cihazların ağ isteklerini tamamen, açıkça ve şifresi çözülmüş halde gözünüzün önüne getirir. Sadece bakmakla kalmaz: düzenleyebilir, engelleyebilir, yeniden oynatabilir, karşılaştırabilir ve kaynağına kadar geri izleyebilirsiniz.

“Bir proxy yakalama aracı daha” olmaktan temel farkı şudur: sıradan proxy araçlarının tek bir yolu vardır, “proxy ayarla + ortadaki adam (man-in-the-middle) şifre çözme.” Proxy’yi görmezden gelen bir programla, sertifika sabitlemesi kullanan bir uygulamayla, bir Java / Python programıyla, özel bir ikili protokolle veya trafik özelliklerine duyarlı bir uygulamayla karşılaştıkları anda genelde tıkanıp kalırlar. Trace Eagle bu kör noktaları tek tek kapatır: proxy’yi görmezden gelen programları bile yakalar, sertifika sabitlemesi olan uygulamaların bile şifresini çözer, özel formatları bile yeniden yapılandırır, sistem gürültüsüne gömülü olsa bile bir akışı kimin gönderdiğini bulur ve trafik özelliklerine duyarlı uygulamalar için trafiği değiştirmeden, normal işleyişini bozmadan yüksek doğrulukla gözlemler.

Akış listesi: her istek yöntem, durum, host/yol, tür, boyut ve kaynak işlemi gerçek zamanlı gösterir


Aynı proxy yakalamada fark, “isteği görebiliyor musunuz” değil, zor bir durumla karşılaştığınızda çalışmaya devam edip edemediğiniz ve daha derinini görüp göremediğinizdir.

Senaryo Sıradan proxy yakalama araçları Trace Eagle
Program sistem proxy’sini görmezden gelir (birçok istemci, arka plan servisi, doğrudan bağlantı trafiği) Yakalayamaz, tamamen kaçırır Şeffaf proxy: uygulama yapılandırması gerekmez; proxy’yi görmezden gelen programları, doğrudan bağlantı trafiğini ve makine hotspot/ağ geçidi olarak çalışırken yönlendirilen trafiği de yakalar, işleme göre hassas kapsam belirlenebilir
Uygulama sertifika sabitlemesi kullanıyor Hata verir / bağlanamaz / vazgeçmek zorunda kalırsınız Tek tıkla hedef uygulamanın sertifika doğrulamasını temizleyin, böylece yakalama sertifikasına güvenir ve şifre çözme devam eder; dokunmak istemediğiniz siteler hassas biçimde doğrudan geçirilir
Java, Python ve benzeri programlar Sistem sertifikası kurulu olsa bile işe yaramaz, şifresi çözülemez Tam sertifika kapsama: sıradan proxy’lerin şifresini çözemediği bu programların şifresi burada da çözülür
HTTP/3 (QUIC) trafiği Zayıf destek, çoğunlukla görülemez İhtiyaca göre üç kademeden seçin: düşürülmüş yakalama, sadık geçiş (yüksek doğruluk) veya gerçek şifre çözme
Özel/ikili protokoller, sıkıştırılmış ve şifrelenmiş zarflar Okuyamayacağınız bir yığın veri Otomatik açma (decompression), birçok formatın otomatik tanınması, ayrıca çerçeveleme kuralları veya JS betikleriyle özel çözümleme
Bir sürü işlem birbirine karışmış, trafiği kimin gönderdiği belirsiz Sadece IP / alan adı, tahmin etmek zorunda kalırsınız Her akış kaynak uygulaması/işlemiyle etiketlenir; hosta tıklayarak tüm profiline de bakabilirsiniz
Karşı tarafın kim olduğunu, istemcinin ne olduğunu belirlemek istiyorsunuz Yok Bir hosta tıklayarak kimlik/sertifika/coğrafi profilini görün, her bağlantının istemci parmak izini (JA3/JA4) inceleyin
Trafik özelliklerine duyarlı uygulamalar Bir MITM proxy’si trafiğin özelliklerini değiştirir, bu yüzden gözlemlediğiniz artık gerçek trafik değildir ve hedefi bozabilir Çoklu yüksek doğruluk modları: trafiği özelliklerini değiştirmeden olduğu gibi tutun, böylece ne hedef uygulamayı bozarsınız ne de analiz ettiğiniz gerçek bağlantıyı kaybedersiniz
Erişim yöntemi / paralel çalışma Genelde sadece proxy, tek oturum Proxy + doğrudan NIC yakalama + şeffaf yakalama + mobil doğrudan bağlantı, birbirini etkilemeden paralel çoklu oturum, çoklu port

Kısacası: sıradan araçlar “proxy yakalama” yapar, Trace Eagle ise durum ne olursa olsun “yakalar, şifresini çözer, anlar ve kimin kime gönderdiğini bilir.”


2. Esnek erişim yöntemleri (iki yerel erişim modu)

Bölüm başlığı “2. Esnek erişim yöntemleri (iki yerel erişim modu)”

Trafiğin yakalamaya nasıl girdiği senaryoya bağlıdır. Oturum araç çubuğunda, “Yerel proxy” → dişli “Erişim ayarları” altında iki erişim modu arasından seçim yapabilirsiniz:

  • Geleneksel proxy (sistem proxy’sini kullanır, klasik yakalama): tek tıkla erişim; tarayıcılar, komut satırı ve çoğu uygulama otomatik olarak proxy üzerinden geçer. Durdurulduktan sonra otomatik geri yüklenir, dolayısıyla normal internet erişimi garanti altındadır ve anormal çıkışlar için de bir kurtarma yedeği vardır. Sınırlama: bir uygulama sistem proxy’sini kullanmıyorsa yakalanamaz.
  • Şeffaf proxy (tüm trafik): sıradan araçların kör noktası: uygulama yapılandırması gerekmez; tüm yerel trafik (doğrudan bağlantı trafiği ve makine hotspot/ağ geçidi olarak çalışırken yönlendirilen trafik dahil) yakalanabilir; sistem proxy’sini kullanmayan uygulamalar da aynı şekilde yakalanır; sadece birkaç programı yakalamak için uygulama/işleme göre hassas kapsam belirleyebilirsiniz; mobilde elle proxy ayarlamaya gerek kalmadan sadece kök sertifikayı kurmanız yeterlidir.

Erişim ayarları: iki erişim modu, geleneksel proxy / şeffaf proxy, üç kademeli HTTP/3 işlemeyle eşleştirilmiş: düşürülmüş yakalama / sadık geçiş / gerçek şifre çözme

LAN cihazlarını yakalama: bir telefonun/tabletin/başka bir bilgisayarın proxy’sini bu makineye yönlendirerek yakalayın, tek tıkla sertifika kurulum rehberiyle (iOS/macOS yapılandırma profili, QR ile tarayıp kurulum).

Üst akış (upstream) proxy zincirleme: yakalama oturumunun kendisi de üstüne başka bir üst akış proxy zincirleyebilir (bu makinenin yakalamasını bir şirket proxy’sine, atlama sunucusuna veya başka ikincil bir proxy’ye bağlamak); bağlantı şeffaftır ve şifre çözmeyi etkilemez.


Giderek daha fazla uygulama HTTP/3’ü benimsiyor ve sıradan araçlar burada genellikle çöküyor. “Erişim ayarları” içinde şunlardan seçim yapabilirsiniz:

  • Engelle (düşürülmüş yakalama): yakalanabilir hale getirmek için HTTP/3’ü HTTP/2’ye düşürmeyi dener (birkaç uygulama bunu desteklemez).
  • Yok say (sadık geçiş): şifresini çözmeden olduğu gibi ilet, yüksek doğruluk, programın veri isteklerini bozmaz.
  • Şifresini çöz (gerçek H3 MITM): gerçekten yakalayıp şifresini çözerek, sıradan HTTPS’te olduğu gibi düz metni görüntüler.

Geleneksel proxy “Engelle / Yok say” seçeneklerini destekler; “Şifresini çöz” mutlaka şeffaf proxy modunda kullanılmalıdır.


4. Şifre çözme yeteneği: “sadece sertifika kurmak”tan fazlası

Bölüm başlığı “4. Şifre çözme yeteneği: “sadece sertifika kurmak”tan fazlası”

Sıradan araçların şifre çözmesi “bir sistem sertifikası kur + proxy ortadaki adam” mantığındadır ve en ufak bir savunmada başarısız olur. Trace Eagle birkaç hamlenin bileşimidir:

  • Tek tıkla HTTPS şifre çözme: yerleşik bir sertifika sistemi; bir kez kurun, sürekli şifre çözme yapılsın.
  • Tam sertifika kapsama kurulumu: tek tıkla sistem sertifikasını her yere kapsayın. Sistem sertifikası kurulu olsa bile sıradan proxy’lerin şifresini çözemediği Java, Python ve benzeri programların şifresi burada da çözülür.
  • Sertifika sabitlemesini temizle (pinning kaldırma): sabitleme kullanan ve normalde bağlantıyı doğrudan hatayla reddeden uygulamalar için, tek tıkla sertifika doğrulamaları temizlenir ve şifre çözme devam eder.
  • Beyaz liste / izin listesi / engelleme listesi: beyaz liste yalnızca belirtilen alan adlarının şifresini çözer ve geri kalanını doğrudan geçirir; izin listesi sıkı doğrulanan siteleri hata almamak için şifresini çözmeden olduğu gibi geçirir; engelleme listesi geçmesini istemediğiniz alan adlarını doğrudan düşürür.

Şifre çözme kapsamı ayarları: kara liste / beyaz liste anahtarı, izin listesi, engelleme listesi, ayrıca üst akış proxy ve özel DNS


  • Aynı anda birden fazla yakalama oturumu açın; her biri kendi başına başlatılıp/durdurulabilen/geçilebilen bağımsız bir sekmedir.
  • Oturumlar tamamen izoledir: bağımsız akış listeleri, detaylar, seçim durumu ve yapılandırma; birden fazla proxy oturumu her biri farklı bir portu dinleyerek aynı anda çalışabilir.
  • Proxy, doğrudan NIC yakalama, şeffaf yakalama ve mobil doğrudan bağlantı aynı anda çalıştırılıp senaryoya göre birbirini etkilemeden birleştirilebilir.

Protokol Desteklenen yetenek
HTTP / HTTPS Eksiksiz istek-yanıt ayrıştırma, düz metin görüntüleme
HTTP/2 Yerel ayrıştırma, HTTP/1.1 ile tutarlı görüntüleme deneyimi
HTTP/3 (QUIC) Seçilebilir üç kademe: düşürülmüş yakalama / sadık geçiş / gerçek şifre çözme (yukarıya bakın)
WebSocket Gönderilen ve alınan mesajların kare kare gösterimi (metin/ikili/ping/pong, yön etiketiyle)
Server-Sent Events (SSE) Olay akışları olay olay gösterilir
gRPC / protobuf .proto dosyasına gerek kalmadan alan yapılarını çözer
Ham TCP / UDP HTTP olmayan özel protokoller için de ham veriyi yakalar
SOCKS5 Erişim için aynı portu paylaşır; hem CONNECT hem de UDP ASSOCIATE desteklenir, SOCKS trafiğinin şifresi de çözülebilir / geçirilebilir

7. Yüksek doğrulukta gözlem: hedefi bozma, trafik özelliklerini değiştirme

Bölüm başlığı “7. Yüksek doğrulukta gözlem: hedefi bozma, trafik özelliklerini değiştirme”

Sıradan bir ortadaki adam proxy’si ağ isteklerinin özelliklerini değiştirir ve sonuçta gözlemlediğiniz artık uygulamanın gerçek trafiği olmaktan çıkar, hedef uygulamanın normal davranışını da etkileyebilir. Trafik özelliklerine duyarlı uygulamalar için (örneğin tutarlılık kontrolü için ağ isteği veri parmak izine dayanan servisler) bu durum hem hedefi bozar hem de analizi çarpıtır.

Trace Eagle, yakalama sürecini olabildiğince “şeffaf” ve gerçek bağlantıya yakın tutmak için birden çok doğruluk kademesi sunar: sadık gözlem (gerçek bir istemciye en yakın şekilde gözlemleyip trafik özelliklerindeki değişimi en aza indirme), parmak izi yeniden yapılandırma (trafiğin yeniden yazılması gerektiğinde bile tutarlı bir istemci parmak izi koruma) ve sabit istemci profili (trafik özelliklerini standart bir istemcininkine döndürme: masaüstü Chrome / Firefox / Safari, mobil Safari veya rastgele bir profil). “H3 Yok say (sadık geçiş)” ile birleştirildiğinde, trafik özelliklerine duyarlı uygulamalar için bile normal işleyişlerini bozmadan sadık biçimde yakalayıp analiz edebilirsiniz.


  • Kimin gönderdiğini bir bakışta görün: her akış kaynak uygulaması/işlemiyle etiketlenir, böylece kalabalık bir ortamda hedefi hızla bulursunuz; bu, sadece IP/alan adı gösteren sıradan araçların size veremeyeceği bir şeydir.
  • Sadece önemsediğinizi yakalayın: şeffaf proxy ile birleştirerek yakalamayı uygulama/işleme göre hassas biçimde kapsayın ve gürültüyü dışarıda tutun.

Akış detayları: bağlantı ve kaynak işlem, TLS ve bağlantı parmak izi (JA3/JA4), şifre çözme durumu ve otomatik ayrıştırılan istek içeriği, hepsi tek ekranda


9. Daha güçlü tamamlayıcı yetenekler (her biri kendi makalesinde)

Bölüm başlığı “9. Daha güçlü tamamlayıcı yetenekler (her biri kendi makalesinde)”

Yakalandıktan sonra “anlama, izleme, yeniden yazma, yeniden oynatma, yük testi” her biri derinlemesine işlenir, bu yüzden ayrı makalelerde detaylandırılmıştır:

Yetenek Tek cümleyle Detaylar
İnceleme ve çözümleme 5 görüntüleme modu + otomatik açma/tanıma/düzgünleştirme + satır içi medya önizleme + özel protokol çerçeveleme/betik çözümleme İnceleme ve çözümleme
Host detayları Herhangi bir hosta tıklayarak kimlik (ASN/kuruluş/kayıt) + coğrafi harita + DNS + TLS sertifika kontrolü + web teknoloji yığını Host detayları
Yeniden yazma kuralları ve breakpoint engelleme İsteği nokta-tıkla ile düzenleyen basit kurallar, betik yazmaya gerek yok + breakpoint’lerle her birini elle düzenleme + karmaşık senaryolar için yedek olarak betikler/eklentiler Yeniden yazma kuralları ve breakpoint engelleme
İstek oluşturma ve yeniden oynatma Tek tıkla yeniden gönderme/düzenleyip yeniden oynatma + istek oluşturucu + dinamik değer imzalama + koleksiyonlar/ortamlar + kod üretimi İstek oluşturma ve yeniden oynatma
İstek karşılaştırma (Diff) İki isteği/yanıtı satır satır, oturumlar ve kaynaklar arasında yan yana karşılaştırarak farkı bir bakışta görme İstek karşılaştırma
Oturum yeniden oynatma ve yük testi Bir dizi isteği toplu halde sırayla yeniden oynatma; tek bir isteğe sağ tıklayıp “bu isteğe yük testi uygula”, gerçek zamanlı verim ve gecikme yüzdelikleriyle Oturum yeniden oynatma ve yük testi

Ayrıca hafif ama kullanışlı bir yetenek daha var:

  • Bağlantı parmak izi (JA3 / JA4): herhangi bir HTTPS bağlantısı için istemci TLS parmak izini görüntüleyin (JA3 ham dizesiyle, JA4, tek tıkla kopyalama). IP/UA ile değişmez ve istemci türünü belirlemek, trafik izleme ve güvenlik analizine yardımcı olmak için kullanılır.

  • API entegrasyon hata ayıklama: mock ile veri üretme; bir üretim uç noktasını yerel/test ortamına yönlendirme.
  • Mobil yakalama: bir telefon uygulamasının HTTPS isteklerini yakalayarak uç noktaları analiz etme ve sorun giderme.
  • Zor durumlarla başa çıkma: proxy’yi görmezden gelen, sertifika sabitlemesi kullanan veya Java / Python ile yazılmış programlar; şeffaf proxy + pinning temizleme + tam sertifika kapsama ile ele alın.
  • Özel protokol analizi: çerçeveleme kuralları veya betiklerle ikili/özel protokollerin yapısını çözme.
  • Arıza giderme: isteğin ne gönderdiğini ve sunucunun ne döndürdüğünü açıkça görerek parametre/dönüş/çapraz kaynak sorunlarını tespit etme.
  • Zayıf ağ testi / yük testi: kötü bir ağı simüle etmek için kuralları kullanma; bir uç noktanın kapasitesini değerlendirmek için yük testini kullanma.
  • Güvenlik denetimi / varlık envanteri: dışa giden iletişimi inceleme, hassas bilgi sızıntılarını kontrol etme, sertifikaları doğrulama ve host profilleriyle karşı tarafın kimliğini belirleme.
  • Yüksek doğrulukta analiz: trafik özelliklerine duyarlı uygulamalar için, trafiği olduğu gibi tutup davranışını bozmadan sadık biçimde yakalama ve analiz etme.

Proxy yakalama, Trace Eagle’ın veri toplama yeteneklerinin bir parçasıdır. Proxy yönteminin yanı sıra ürün, doğrudan NIC yakalama, mobil cihaz doğrudan bağlantısı ve diğer yakalama yöntemlerini de destekler; bunlar senaryoya göre esnek biçimde birleştirilebilir.